アカウント名:
パスワード:
office氏は不正アクセス防止法違反で、当該の留学生は不正アクセス防止法違反ではないと。
青柳裁判長は「問題のファイルには、FTPサーバからIDとパスワードを入力してアクセスするのが通常。CGI経由のアクセスは、FTP上のアクセス制御を回避した不正アクセス行為にあたる」と認定した。
この時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。
「問題のデータには、DBMSクライアントからIDとパスワードを入力してアクセスするのが通常。Webサーバ経由のアクセスは、DBMS上のアクセス制御を回避した不正アクセス行為にあたる」
だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。
当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号であることを確認して、当該特定利用の制限の全部又は一部を解除す
今回のように検挙され処罰されていくことが示されることで、インターネット犯罪に対する大きな抑止力になると思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
「アクセス制御機能」不十分 (スコア:2, 興味深い)
Re:「アクセス制御機能」不十分 (スコア:1)
office氏は不正アクセス防止法違反で、当該の留学生は不正アクセス防止法違反ではないと。
名物に旨いものなし!
Re:「アクセス制御機能」不十分 (スコア:2, 興味深い)
以前の記事 [srad.jp]を見てみよう
FTPでアクセス制御…即ちパスワードの事だ。つまりFTPでパスワードがかかっていたら「アクセス制御が十分有り、これを回避する事を不正アクセスとする」という事だ。
ここで asahi.com の記事 [asahi.com]を見てくれ。
「侵入されても不正アクセスとは言えないぐらいアクセス制御が不十分」つまり kakaku.com のFTPにはパスワードがかかっていなかったんだよ!!
# ネタです…制御の有無を問うならFTPではなくDBだし…書いてるうちにACさんに先を越されたし…
しかしACCSの事件と今回の違いは気になりますね。今回の事件こそ
と認定できそう(Webサーバ経由でアクセスできる事自体は普通なんですけどね)なものですが。
Re:「アクセス制御機能」不十分 (スコア:1, 参考になる)
> 入力してアクセスするのが通常。Webサーバ経由のアクセスは、
> DBMS上のアクセス制御を回避した不正アクセス行為にあたる」
いや、もしかしたら、ここにさえID+パスワードがかかっていなかったために、
http://www.asahi.com/national/update/0707/TKY200507070250.htmlより抜粋
> 少なくともこの時点では同社のサーバーは、利用者を特定の
> 人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十
> 分だった疑いが強いことが判明。不正アクセス禁止法の要件を
> 満たさない可能性が高いと判断したという。
ということなのかもしれない。
最高のセキュリティ、ぶらぼーー!!
Re:「アクセス制御機能」不十分 (スコア:1)
コンソールからコマンドを使ってアクセスするのが通常。
とか。
#あえて ssh ではなくて telnet としてみた
Re:「アクセス制御機能」不十分 (スコア:0)
>俺たちはどうやら (前略)
後略ですよね。
Re:「アクセス制御機能」不十分 (スコア:0)
>>俺たちはどうやら (前略)
>後略ですよね。
ふつー、そういうときには(中略)にせんか?
Re:「アクセス制御機能」不十分 (スコア:1, 興味深い)
これが不正アクセスではなくて、office氏は不正アクセスだった・・・よくわからん・・・・
FTPによるアクセス制御はなかったのかしら?
どちらも、HTTPに関する攻撃だと思うんだけど。
office氏事件では、HTTPドアは開いてても、FTPのドアさえカギかけておけば、不正アクセスだったんだよね?
ちょっと家のドアに例えてみたんですが、もっとわかり易い例えで説明できないかな?
なんかちょっとイメージが違う気がする
やめとけ (スコア:0)
> もっとわかり易い例えで説明できないかな?
> なんかちょっとイメージが違う気がする
いや、この辺りでの例え話は百害あって一利無しなのでもうやめましょう。
office氏を擁護するか否か、侵入される企業側の責任の有無、
現行法を支持するか否か、は全く関係無く、ね。
Re:「アクセス制御機能」不十分 (スコア:0)
アホか。
officeの判決文を読んで出直してきな。
Re:「アクセス制御機能」不十分 (スコア:0)
http://www.itmedia.co.jp/news/articles/0503/25/news022.html
によると
> 青柳裁判長は「問題のファイルには、FTPサーバからIDと
> パスワードを入力してアクセスするのが通常。CGI経由の
> アクセスは、FTP上のアクセス制御を回避した不正アクセ
> ス行為にあたる」と認定した。
っていう表現になってるから、管理者がFTPからしか
アクセスを想定してないところに、無防備なHTTPでCGI経由の
アクセスをしたら不正アクセスにあたるといっているように
見えるな。
もっと正確な表現で書かれてる判決文ないかな?
Re:「アクセス制御機能」不十分 (スコア:1, 興味深い)
『「アクセス制御機能」が不十分』の基準が意味不明だよ。
ACCSのセキュリティ対策は十分だったけど
価格コムの対策は十分ではなかったと?
office氏も価格コムも好きではないが、
こういうわけのわからん基準で裁かれるのだとするなら、
ちょっと同情してしまう。
Re:「アクセス制御機能」不十分 (スコア:0)
ケースバイケースという言葉をご存知ありませんか?それに今こうやって基準を作っているわけですよ
(SQLインジェクション対策程度はやって当たり前,という基準)。
Re:「アクセス制御機能」不十分 (スコア:0)
> (SQLインジェクション対策程度はやって当たり前,という基準)。
技術屋視点ではACCSの件もカカクコムのSQLインジェクションも同じようなものだが、
法律屋視点では何処に違いを見出して線引きしたのだろうか?
Re:「アクセス制御機能」不十分 (スコア:0)
Re:「アクセス制御機能」不十分 (スコア:1)
価格.comの不正アクセスについてのご報告 [kakaku.com]に
というのがあるのが痛々しい。
Re:「アクセス制御機能」不十分 (スコア:0)
不正アクセス禁止法は、類似法律はいくつかの国にあれど、あくまで日本だけ有効なのだから、抑止は日本在住人とかにしか通用しませんな。
日本以外から攻撃されたら泣き寝入りしかなくなる可能性大。
その辺の意識がまったく欠
Re:「アクセス制御機能」不十分 (スコア:1)
米国の法律では、外国で外国人に対してなされた外国人の行為であっても対象にすることすらあると聞いたことがあります。
Re:「アクセス制御機能」不十分 (スコア:0)
たしか、日本が犯罪者の引渡しに関する条約を結んでいる国って、アメリカと韓国だけじゃなかったっけ?
その他の国が対象の場合は、逮捕および処罰の代行を依頼して、逮捕された国の国内法で裁くってのが一般的だった気がする。
Re:「アクセス制御機能」不十分 (スコア:0)